DDoS 부터/IP 스트레서란? | DDoS 공격 도구

SaaS 서비스로 패키지된 DDoS 공격을 저렴한 비용으로 사용할 수 있습니다.

Share facebook icon linkedin icon twitter icon email icon

DDoS 부터

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 부터 및 IP 스트레서에 관해 자세히 알아보기
  • DDoS 공격 도구에 관해 자세히 알아보기
  • 비즈니스 모델로서의 범죄에 관해 자세히 알아보기

IP 스트레서란?

IP 스트레서는 네트워크 또는 서버의 강건성을 테스트하기 위해 설계된 도구입니다. 관리자는 기존 리소스(대역폭, CPU 등)가 추가 로드를 처리하기에 충분한지 판단하기 위해 스트레스 테스트를 실행할 수 있습니다.

자체 네트워크 또는 서버를 테스트하는 것은 스트레서를 합법적으로 사용하는 것입니다. 다른 사용자의 네트워크 또는 서버에 대해테스트를 실행하면 합법적인 사용자에게 서비스 거부가 발생하는 일이 생기므로 대부분의 국가에서 이러한 테스트는 불법입니다.

부터 서비스란?

부터 서비스라고도 알려진 부터는 웹 사이트와 네트워크를 다운시키기 위해 진취적인 범죄자들이 제공하는 온디맨드 DDoS(분산형 서비스 거부) 공격 서비스입니다. 달리 말하지면 부터는 IP 스트레서를 불법적으로 사용하는 것입니다.

불법적인 IP 스트레서는 프록시 서버를 사용하여 공격 서버의 신원을 모호하게 만드는 일이 많습니다. 프록시는 공격자의 IP 주소를 가리는 동안 공격자의 연결을 다시 라우팅합니다.

부터는 흔히 이메일 지원 및 YouTube 튜토리얼과 함께 SaaS(Software-as-a-Service)로 매끄럽게 패키징됩니다. 패키지는 일회용 서비스, 정의된 기간 내에 여러 번 공격 또는 심지어 “수명” 기간 내내 액세스할 수 있는 기능을 제공할 수 있습니다. 기본 1개월 패키지의 가격은 최소 $19.99입니다. 결제 옵션으로는 신용카드, Skrill, PayPal 또는 비트코인 등을 사용할 수 있습니다(단, PayPal은 악의적인 의도가 증명될 경우 계정을 취소합니다).

IP 부터는 봇넷과 어떻게 다릅니까?

봇넷은 소유자가 자신의 컴퓨터가 악성코드에 감염되어 인터넷 공격에 사용되고 있다는 것을 알지 못하고 있는 컴퓨터의 네트워크입니다. 부터는 DDoS-for-hire 서비스입니다.

전통적으로 부터는 공격을 시작하기 위해 봇넷을 사용했지만, 부터가 점점 더 정교해지면서 일부 부터 서비스에서 “공격을 시작하는 데 도움을 드립니다”라고 표현하는 것처럼 더 강력한 서버를 자랑하고 있습니다.

서비스 거부 공격의 동기는 무엇입니까?

서비스 거부 공격의 동기는 해킹 기술을 구체화하는 스키디*, 비즈니스 경쟁, 이념 갈등, 정부 지원 테러 또는 강탈 등 많은 동기가 있습니다. PayPal과 신용카드는 강탈 공격을 위한 지불으로 선호되는 방법입니다. 또한, 비트코인은 신원 위장 기능을 제공하기 때문에 사용됩니다. 비트코인의 한가지 단점은, 공격자의 관점에서는 다른 형태의 결제 방식에 비해 비트코인을 사용하는 사람이 적다는 것입니다.

*스크립트 키디 또는 스키디는 네트워크 또는 웹사이트에 대한 공격을 개시하기 위해 다른 위반자가 작성한 스크립트나 프로그램을 사용하는 상대적으로 숙련도가 낮은 인터넷 파괴자를 경멸하는 용어입니다. 이들은 종종 그 결과를 고려하지 않고 비교적 잘 알려져 있고 쉽게 악용할 수 있는 보안 취약성을 추구합니다.

증폭 및 반사 공격이란 무엇입니까?

반사 및 증폭 공격은 표적이 된 네트워크나 서버를 압도하기 위해 합법적인 트래픽을 이용합니다.

공격자가 희생자의 IP 주소를 위조하고 희생자인 척하면서 제3자에게 메시지를 전송하는 경우 이를 IP 주소 스푸핑이라고 합니다. 제3자는 피해자의 IP 주소와 공격자의 IP 주소를 구별할 방법이 없습니다. IP 주소 스푸핑은 피해자에게 직접 회신합니다. 공격자의 IP 주소는 피해자와 제3자 서버 양쪽 모두에게 숨겨져 있습니다. 이 과정을 반사라고 합니다.

이것은 피해자인 척하면서 피해자의 집으로 피자를 주문하는 공격자와 비슷합니다. 이제 결국 피해자는 자신이 주문하지 않은 피자를 위해 피자 가게의 돈을 빚지게 됩니다.

트래픽 증폭은 공격자가 가능한 한 많은 데이터를 사용하여 제3자 서버가 피해자에게 강제로 응답을 되돌려 보내게 하는 경우에 발생합니다. 응답과 요청의 크기 사이의 비율은 증폭 계수라고 알려져 있습니다. 이러한 증폭이 클수록 피해자가 중단을 겪을 가능성도 커집니다. 처리해야 하는 스푸핑된 요청의 양으로 인해 타사 서버 역시 중단됩니다. NTP 증폭은 이러한 공격의 한 가지 예입니다.

가장 효과적인 유형의 부터 공격은 증폭과 반사를 모두 사용합니다. 먼저 공격자는 목표물의 주소를 위조하여 제3자에게 메시지를 전송합니다. 제3자가 회신하면 메시지가 가짜 표적 주소로 이동합니다. 이 회신은 원래 메시지보다 훨씬 크고 이로 인해 공격 규모가 증폭됩니다.

이러한 공격에서 단일 봇의 역할은 악의적인 십대들이 식당에 전화를 걸어 메뉴 전체를 주문한 후에 메뉴의 모든 항목을 확인하는 답신 전화를 요청하는 것과 비슷합니다. 다른 점은 답신 전화번호가 피해자의 번호라는 것입니다. 이는 표적이 된 피해자가 자신이 요청하지 않은 정보의 폭주와 함께 식당으로부터 전화를 받게 되는 결과가 발생합니다.

서비스 거부 공격의 범주는 무엇입니까?

애플리케이션 계층 공격은 웹 애플리케이션을 추적하고 종종 가장 정교한 기능을 사용합니다. 이러한 공격은 우선 표적과의 연결을 설정한 다음 프로세스와 트랜잭션을 독점하여 서버 리소스를 소진함으로써 계층 7 프로토콜 스택에 존재하는 약점을 악용합니다. 이는 식별 및 완화가 어렵습니다. 일반적인 예는 HTTP 폭주 공격입니다.

프로토콜 기반 공격은 프로토콜 스택의 계층 3 또는 4에 존재하는 약점을 악용하는 데 중점을 둡니다. 이러한 공격은 희생자 또는 기타 중요 리소스(예: 방화벽)의 모든 프로세싱 용량을 소모하여 서비스 중단을 발생시킵니다. Syn 폭주Ping 사망이 이러한 공격의 일부 예입니다.

볼류메트릭 공격은 피해자의 대역폭을 포화 상태로 만들기 위해 대량의 트래픽을 전송합니다. 볼류메트릭 공격은 단순한 증폭 기법을 사용하므로 생성하기 쉽습니다. 그러므로 이러한 공격이 가장 일반적인 형태의 공격입니다. UDP 폭주, TCP 폭주, NTP증폭 및 DNS 폭주가 이러한 공격의 일부 예입니다.

일반적인 서비스 거부 공격이란 무엇입니까?

DoS 또는 DDoS 공격의 목표는 시스템이 합법적인 요청에 응답하지 않게 되도록 서버나 네트워크의 리소스를 충분히 소모하는 것입니다.

  • SYN 폭주: 표적 시스템을 압도하기 위해 SYN 요청이 연속적으로 표적 시스템으로 디렉션됩니다. 이 공격은 세 방향 핸드셰이크로 알려진 TCP 연결 시퀀스의 약점을 이용합니다.
  • HTTP 폭주: 웹 서버를 공격하기 위해 HTTP GET 또는 POST 요청을 사용하는 유형의 공격입니다.
  • UDP 폭주: 표적의 무작위 포트가 UDP 데이터그램을 포함하는 IP 패킷에 의해 압도되는 공격 유형입니다.
  • Ping 사망: 공격에는 IP 프로토콜이 허용하는 것보다 더 큰 IP 패킷을 고의적으로 전송하는 것이 포함됩니다. TCP/IP 조각화는 큰 패킷을 작은 IP 패킷으로 작게 분해하여 처리합니다. 패킷을 합칠 때 패킷이 허용 가능한 65,536바이트보다 큰 경우 기존 서버가 충돌하는 경우가 많이 발생합니다. 이는 최신 시스템에서 대체로 수정되었습니다. Ping 폭주는 이러한 공격의 현대 화신입니다.
  • ICMP 프로토콜 공격: ICMP 프로토콜에 대한 공격은 응답을 다시 전송하기 전에 각 요청이 서버에 의해 처리되어야 한다는 점을 이용합니다. Smurf 공격, ICMP 폭주, ping 폭주는 응답을 기다리지 않고 ICMP 요청을 서버가 감당하지 못할 정도로 보내는 방식으로 이를 활용합니다.
  • Slowloris: Robert 'RSnake' Hansen이 개발한 이 공격은 표적 웹 서버에 대해 여러 연결을 가능한 한 오랫동안 개방 상태로 두기 위해 애를 씁니다. 결국 클라이언트의 추가 연결 시도가 거부됩니다.
  • DNS 폭주: 공격자는 특정 도메인에 대한 DNS 확인을 중단시키기 위해 해당 도메인의 DNS 서버에 폭주를 발생시킵니다.
  • Teardrop 공격: 이 공격은 분절된 패킷을 표적 장치로 보내는 것과 관련된 공격입니다. TCP/IP 프로토콜에 존재하는 버그는 서버가 이러한 패킷을 재조립하지 못하게 막음으로써 패킷들이 겹치게 되는 현상을 발생시킵니다. 표적 장치가 충돌합니다.
  • DNS 증폭: 이 반사 기반 공격은 서버 리소스를 소비하는 프로세스에서 DNS(도메인 이름 시스템) 서버에 대한 합법적인 요청을 훨씬 큰 요청으로 바꿉니다.
  • NTP 증폭: UDP 트래픽의 양이 증폭된 표적 네트워크 또는 서버를 압도하기 위해 공격자가 NTP(Network Time Protocol) 서버 기능을 악용하는 반사 기반 볼륨류메트릭 DDoS 공격입니다.
  • SNMP 반사: 공격자는 희생자의 IP 주소를 위조하고 여러 개의 SNMP(Simple Network Management Protocol) 요청을 장치에 폭주시킵니다. 응답의 양이 피해자를 압도할 수 있습니다.
  • SSDP: SSDP(Simple Service Discovery Protocol) 공격은 표적 피해자에게 증폭된 트래픽을 전송하기 위해 UPnP(Universal Plug and Play) 네트워킹 프로토콜을 이용하는 반사 기반 DDoS 공격입니다.
  • SMURF 공격: 이 공격은 스머프라고 불리는 맬웨어 프로그램을 사용합니다. 피해자의 스푸핑된 IP 주소가 있는 상당히 많은 양의 ICMP(Internet Control Message Protocol) 패킷이 IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크에 브로드캐스트됩니다.
  • Fraggle 공격: 이 공격은 ICMP 대신 UDP를 사용한다는 것을 제외하면 스머프와 유사한 공격입니다.

DDoS 강탈 공격이 발생할 경우 어떻게 해야 합니까?

  • 데이터 센터 및 ISP에 즉시 알려야 합니다.
  • 랜섬 지불은 결코 선택사항이 되어서는 안 됩니다. 지불 행위는 종종 랜섬 요구가 점점 증가하게 되는 결과로 이어지게 됩니다.
  • 사법 기관에 알려야 합니다.
  • 네트워크 트래픽을 모니터링해야 합니다
  • Cloudflare의 무료 요금제와 같은 DDoS 방어 계획에 연락합니다.

봇넷 공격은 어떻게 완화될 수 있습니까?

  • 서버에 방화벽이 설치되어야 합니다.
  • 보안 패치가 최신 상태여야 합니다.
  • 안티바이러스 소프트웨어가 예정대로 실행되어야 합니다.
  • 시스템 로그가 정기적으로 모니터링되어야 합니다.
  • 알 수 없는 이메일 서버가 SMTP 트래픽을 배포하는 것이 허용되어서는 안 됩니다.

부터 서비스를 추적하기 어려운 이유는 무엇입니까?

이러한 범죄 서비스를 구매하는 사람은 지불하기 위해 프런트엔드 웹사이트와 공격과 관련된 지침을 사용합니다. 실제 공격을 개시하는 백엔드와 식별 가능한 연결이 없는 경우가 매우 많습니다. 그러므로 범죄 의도를 입증하기가 어려울 수 있습니다. 지불 자취를 따라가 보는 것이 범죄자들을찾아내는 한 가지 방법입니다.